Uprawnienia systemu Windows - nie zezwalaj użytkownikowi na usuwanie pliku, nawet jeśli jest on właścicielem

5

Mam skonfigurowane konto użytkownika, które umożliwia tworzenie folderów / plików, ale NIE może usuwać folderów / plików utworzonych przez innych użytkowników; nadal mogą jednak usuwać utworzone foldery / pliki. Nie chcę, żeby mogli to zrobić.

Czy mogę w jakiś sposób zabronić użytkownikom usuwania rzeczy, nawet jeśli są oni właścicielem / twórcą?

Lub czy mogę automatycznie zmienić właściciela folderu / pliku na admin, gdy zostanie on utworzony, blokując w ten sposób ogólne konto użytkownika przed usunięciem?

Wszelkie pomysły lub sugestie?

windows-7 permissions windows-server-2012 windows-server blackandorangecat
źródło
2
Czy muszą mieć możliwość modyfikacji plików po ich utworzeniu? Wiele aplikacji „zapisuje” plik, pisząc plik tymczasowy, usuwając oryginał i zmieniając nazwę pliku tymczasowego na pierwotną nazwę. Zapisywanie (temp) + usuwanie + zmiana nazwy (temp) oznacza, że ​​zawsze masz dobrą kopię pliku, w porównaniu do bezpośredniego nadpisywania, które może zniszczyć wszystkie dane, jeśli coś ulegnie awarii w niewłaściwym czasie. W każdym razie chodzi mi o to, że jeśli odmówisz usunięcia, zepsujesz wiele programów.
Zoredache,

Odpowiedzi:

2

Zapobiegaj zmianom uprawnień właścicieli obiektów NTFS

Jeśli użytkownicy uzyskują dostęp do swoich danych za pośrednictwem udziału sieciowego Windows, administrator systemu może uniemożliwić właścicielowi pliku lub folderu NTFS zmianę uprawnień, nie udzielając uprawnienia do udziału Pełna kontrola :

wprowadź opis zdjęcia tutaj

Podziękowania dla tego artykułu za koncepcję.

Dlatego wszelkie uprawnienia przyznane użytkownikom w pierwszej kolejności pozostaną w mocy, nawet dla właścicieli obiektów, ponieważ nie będą oni mogli wykonywać swoich uprawnień jako Właściciel, aby udzielić sobie uprawnień niedozwolonych przez administratora serwera.

Twisty impersonator
źródło
1

Kluczem jest to, że użytkownicy mogą usunąć plik, jeśli lista ACL pliku uprawnia go do usunięcia go lub lista ACL katalogu zawierającego daje im uprawnienia do usuwania-potomka. Musisz upewnić się, że ten ograniczony użytkownik nie uzyska żadnego pozwolenia. W specjalnym folderze, z którego nie powinny mieć możliwości usuwania plików, przydziel im następujące uprawnienia w oknie Zaawansowane ustawienia zabezpieczeń:

  • Zezwalaj na „przechodzenie przez folder / wykonywanie pliku”, „wyświetlanie listy folderów / odczyt danych”, „odczyt atrybutów”, „odczyt atrybutów rozszerzonych”, „tworzenie plików / zapisywanie danych”, „tworzenie folderów / dołączanie danych” i „uprawnienia do odczytu” na „ten folder i podfoldery”
  • Odmów „usuń podfoldery i pliki”, „usuń” i „zmień uprawnienia” w „tym folderze, podfolderach i plikach”
  • Zezwól na pełną kontrolę nad „tylko plikami” (będzie to moderowane przez poprzednią regułę odmowy)

Ale ponieważ ten użytkownik jest właścicielem wszystkich tworzonych przez siebie plików, jest uprawniony do zmiany uprawnień w celu umożliwienia usunięcia. Ostatnim elementem układanki jest tajemna zasada OWNER RIGHTS. Możesz wpisać to wyrażenie bezpośrednio w oknie dialogowym wyboru użytkownika, w którym zwykle wpisujesz nazwę użytkownika lub grupy. Utwórz ostatnią regułę w folderze, która przyznaje tylko „uprawnienia do odczytu” w „tylko podfolderach i plikach” OWNER RIGHTS. Jedyną zaletą bycia właścicielem pliku w tym folderze jest to, że gwarantuje on możliwość zobaczenia listy ACL, ale jej nie zmienia.

Ben N.
źródło
To fantastyczne - zwłaszcza, że ​​w przeciwieństwie do mojej odpowiedzi, można ją włączyć bardziej szczegółowo zamiast całego udziału. Nie wiedziałem o OWNER RIGHTStożsamości. Czy istnieje dokumentacja wyjaśniająca tę zasadę bezpieczeństwa?
Twisty Impersonator
@TwistyImpersonator Oficjalna dokumentacja jest dość skąpa - wszystko, co mogłem znaleźć, to zwięzły, ale kompletny opis na tej liście wbudowanych zleceniodawców i w tej raczej nieprzydatnej podsekcji specyfikacji . Artykuły innych firm, takie jak ten, wyjaśniają to szerzej.
Ben N
0

Wystarczy użyć odmowy uprawnień, ponieważ zastępują one uprawnienia.

Należy pamiętać, że w każdym przypadku właściciel może zmodyfikować uprawnienia, aby umożliwić usuwanie plików. Jeśli tak się stanie, jest to wyraźny akt woli, a nie przypadek, co zwykle jest w porządku.

Pamiętaj też, że jeśli ustawisz odmawianie uprawnień, prawdopodobnie niektóre programy i skrypty działające na serwerze nie będą już mogły usuwać ani przenosić plików, dopóki nie zmienisz uprawnień ponownie.

LPChip
źródło
Byłoby to prawdą, gdyby nie fakt, że użytkownik jest właścicielem pliku. Właściciele obiektów / plików mogą zmieniać uprawnienia do pliku, niezależnie od tego, jakie mają uprawnienia do obiektu, w tym przypadki, w których odmówiono mu uprawnień do tego pliku.
Twisty Impersonator,
@TwistyImpersonator tak, tak napisałem w mojej odpowiedzi. Właściciele z odmową uprawnień będą nadal otrzymywać wyniki odmowy uprawnień, ale mogą je unieważnić. W takim przypadku osoba wie, co robi i wie, że zmienia uprawnienia.
LPChip
@TwistyImpersonator Można temu zapobiec, dodając regułę dla niejasnych OWNER RIGHTSzleceniodawców. Jeśli istnieje taka reguła i nie przyznaje ona uprawnienia do „zmiany uprawnień”, właścicielowi nie gwarantuje się możliwości edycji listy ACL.
Ben N
0

W zależności od tego, jakie są tego powody, okresowe tworzenie kopii zapasowych w lokalizacji, do której użytkownik nie ma dostępu, może być rozwiązaniem.

Akumulacja
źródło